Онлайн библиотека PLAM.RU


  • Глава 1. Тенденции рынка
  • Глава 3. Беспроводные сети. Взлом и защита
  • Предлагаемые методы защиты
  • Методики нападения
  • Аудит
  • Выводы и рекомендации
  • Глава 4. Настоящее и будущее
  • Глава 5. Что такое Barsum Wi-Fi?
  • Глава 6. Локальная сеть в мобильном офисе
  • Глава 7. «Двенадцать обезьян»
  • Глава 8. Любопытно?
  • Глава 9. Альтернативы
  • Часть 4.

    Путеводитель по стандартам на беспроводные ЛВС

    Глава 1.

    Тенденции рынка

    Cегодня беспроводные ЛВС можно встретить в офисах компаний, в университетах, жилых домах и в общественных местах, включая аэропорты, гостиницы и рестораны. Некоторые некоммерческие организации даже пытаются охватить ими целые городские районы и на их основе предоставить пользователям бесплатный доступ в Интернет. Все ведущие производители блокнотных ПК предлагают беспроводные интерфейсы для своих продуктов. Столь высокий уровень популярности этих сетей объясняется тем, что они стали стабильными в работе, хорошо известными (сетевым специалистам и пользователям) и недорогими. Использование оборудования для беспроводных ЛВС — это неплохой вариант построения компьютерной сети.

    Специалисты в области сотовой связи уже давно «дразнят» нас её потенциальными возможностями по обеспечению высокоскоростного доступа к данным в любое время и в любом месте (где бы ни находился пользователь), но, видя все более широкое распространение беспроводных ЛВС, можно предположить, что быстрее такой доступ будет реализован на основе последних. Вас беспокоит, что пропускной способности этих сетей не хватит для нормальной работы ваших приложений? Если скорости передачи 11 Мбит/с не достаточно для этого, то скоро на рынке появятся беспроводные средства с пропускной способностью до 54 Мбит/с, по цене ненамного дороже выпускаемого сейчас оборудования для беспроводных ЛВС.

    При всей своей привлекательности внедрение беспроводных ЛВС ставит перед менеджерами по ИТ сложные проблемы. Одна из них заключается в том, как развернуть сеть сегодня, чтобы можно было легко модернизировать её завтра. Другая проблема связана с обеспечением высокого уровня защиты данных. Межсетевой экран стоимостью несколько тысяч долларов может оказаться полностью скомпрометирован при наличии одной неправильно сконфигурированной точки доступа (даже если она находится за кирпичной стеной здания). Кроме того, как это ни странно, но беспроводные ЛВС могут стать жертвой своего же собственного успеха: средства, основанные на разных беспроводных технологиях, включая Bluetooth, способны создавать сильные взаимные помехи. Имеются также проблемы с IP-адресацией, которые делают невозможным роуминг между установленными в разных подсетях точками доступа без использования специального связующего ПО.

    К счастью, большинство названных проблем имеют решения. Кроме того, многие недостатки сегодняшних сетей будут преодолены в новых стандартах. Беспроводные ЛВС хорошо работают уже сейчас, но со временем станут работать ещё лучше. Однако, чтобы успешно использовать эти сети, нужно знать присущие им ограничения и перспективы их развития.

    Нет никакого сомнения в том, что сегодня рынок беспроводных ЛВС испытывает самый настоящий бум. По данным компании IDC, в прошлом году мировой объём продаж оборудования для беспроводных ЛВС вырос на 80% и составил около 1 млрд долл., предполагается, что к концу 2005 г. он достигнет 3,2 млрд долл. Традиционно самым большим спросом эти сети пользуются на вертикальных рынках — в лечебных учреждениях, на больших складах и т. д., поскольку медицинские, складские и другие специализированные приложения позволяют быстро окупить значительные затраты на приобретение радиооборудования и развёртывание сети. Однако с прошлого года беспроводные ЛВС стали довольно популярными и на горизонтальных рынках — их используют теперь компании самого разного профиля, службы эксплуатации жилых зданий и образовательные учреждения.

    Самые большие средства затрачивают на строительство беспроводной инфраструктуры те компании, которые работают в сфере высоких технологий и/или имеют большое число сотрудников, оснащённых блокнотными ПК. Например, корпорация Microsoft развернула у себя около 2 тыс. точек доступа, обслуживающих примерно 10 тыс. пользователей. Многие компании устанавливают точки доступа в комнатах для переговоров, в конференц-залах, кафетериях и учебных классах. Для небольшой фирмы беспроводная ЛВС привлекательна тем, что её можно развернуть в арендуемом недорого помещении, где отсутствует структурированная кабельная система, а затем, когда фирма станет крупнее, можно будет легко переместить эту сеть в новый офис. Пользователи домашних ПК все чаще прибегают к беспроводным ЛВС для совместного использования (с членами своей семьи, а иногда и с соседями) периферийного оборудования и широкополосных каналов доступа в Интернет.

    Благодаря усилиям компаний MobileStar Network и Wayport, лидирующих на рынке услуг сетей доступа, основанных на технологии беспроводных ЛВС, число последних растёт в аэропортах, отелях, конгресс-центрах и крупных магазинах. Людей весьма привлекает возможность использовать (для удалённого доступа к данным) свой блокнотный или карманный ПК с беспроводным интерфейсом и на работе, и дома, и в поездке.

    Хотя большинство крупных беспроводных ЛВС начали работать совсем недавно, многие рыночные аналитики уже утверждают, что они гораздо лучше подходят для организации широкополосных соединений общего пользования, например в аэропортах, чем сети третьего поколения (3G), которые получат широкое распространение только через несколько лет. Благодаря более низкой стоимости оборудования и его работе в нелицензируемом (в США и ряде других стран) частотном диапазоне передача данных по беспроводным ЛВС может быть в десять и более раз дешевле, чем по сотовым сетям. Сегодня перед операторами сотовой связи стоит дилемма: использовать технологии беспроводных ЛВС наряду с технологией сотовой связи или попытаться конкурировать с первыми.

    Некоторые европейские операторы сотовой связи, в том числе финская фирма Sonera и шведская компания Telia, уже предоставляют своим абонентам дополнительные услуги на базе средств беспроводных ЛВС, но операторы Северной Америки пока ещё не готовы идти по этому пути. Вы можете спросить, почему операторы тратят десятки миллиардов долларов на развёртывание сотовых сетей 3G, если сегодняшние технологии сотовой связи в сочетании с технологиями беспроводных ЛВС способны предоставить пользователям примерно тот же сервис, но при гораздо меньших капиталовложениях? Дело в том, что в настоящее время поддержка технологий беспроводных ЛВС не входит в генеральные планы развития сетей большинства операторов, и, чтобы включить её в эти планы, им придётся не только проделать огромную техническую работу, но и пересмотреть своё отношение к рынку беспроводных услуг вообще.

    Оборудование для беспроводных ЛВС становится все более привлекательным по ценам. Сегодня сетевой радиоадаптер PC Card стоит дешевле 100 долл., а всего несколько лет назад подобная плата стоила около 500 долл. (при этом её пропускная способность была меньше). Совсем недавно точки доступа покупали примерно за 1500 долл.; сейчас беспроводные шлюзы с функциями маршрутизатора и межсетевого экрана, предназначенные для небольших и домашних офисов, продаются по цене около 200 долл. Впрочем, точка доступа с поддержкой роуминга, расширенными функциями защиты данных, большой дальностью действия и мощными средствами управления стоит дороже.

    Ещё одна положительная характеристика сегодняшних устройств для беспроводных ЛВС — взаимная функциональная совместимость оборудования разных производителей. Благодаря сертификации продуктов на соответствие требованиям спецификации Wi-Fi (Wireless Fidelity), проводимой ассоциацией производителей WECA (Wireless Ethernet Compatibility Alliance), большинство представленных на рынке беспроводных адаптеров и точек доступа совместимы между собой, но проблема взаимодействия точек доступа разных производителей в рамках одной сети ещё не решена.

    Сильным стимулом развития рынка беспроводных ЛВС, о котором специалисты почему-то упоминают довольно редко, является совместимость этих сетей с предназначенными для традиционных ЛВС сетевыми ОС и приложениями (например, Lotus Notes и Microsoft Exchange). Когда возникает необходимость в организации доступа к приложениям через мобильные телефоны, то по причинам низкой скорости передачи данных по радиоканалам сотовых сетей, значительной задержки сигнала в этих сетях и высокой стоимости пользования ими необходимо либо тщательно конфигурировать приложения, либо применять беспроводное связующее ПО, либо обращаться к услугам поставщика беспроводных приложений (ASP). Скорее всего, вам придётся модифицировать своё приложение, приспосабливая его к работе через сотовую инфраструктуру. Что же касается беспроводных ЛВС, то благодаря их высокой пропускной способности и низкой стоимости пользования ими предприятия могут задействовать почти все свои существующие сетевые приложения без каких-либо изменений.

    Однако необходимо сделать ряд предупреждений. Если вы хотите осуществлять доступ к частной интрасети по беспроводной ЛВС общего пользования, то с целью защиты передаваемого трафика от перехвата следует задействовать ПО для работы в виртуальной частной сети (VPN). Если же вы хотите сохранять свой IP-адрес при переходе от одной подсети к другой или же поддерживать установленные сеансы связи при кратковременном выходе из зоны действия сети, используйте беспроводное связующее ПО, подобное поставляемому компанией NetMotion Wireless. Вообще говоря, все эти трудности незначительны по сравнению с преимуществами широкополосного мобильного доступа.

    Новым приложением, которое может стать значительной движущей силой развития рынка беспроводных ЛВС, является распространение видеопрограмм в жилых домах. Сегодня для приёма цифрового ТВ-сигнала каждый телевизор необходимо оборудовать специальной приставкой, что довольно дорого. Дешевле задействовать одну приставку, принимающую цифровой ТВ-сигнал из кабельной сети или со спутника, и беспроводную ЛВС, транслирующую видеоинформацию всем телевизорам в доме. Это станет возможным после введения новых стандартов на беспроводные ЛВС, определяющих необходимые (для такой трансляции) скорости передачи данных и механизмы обеспечения качества обслуживания.

    В настоящее время на рынке большим успехом пользуются 11-Мбит/с беспроводные ЛВС стандарта IEEE 802.11b. Они обеспечивают достаточно высокие для нормальной работы большинства приложений скорости передачи данных, несмотря на то, что их реальная пропускная способность составляет всего около 6 Мбит/с и с ростом числа абонентов снижается гораздо быстрее, чем производительность проводной сети.

    Ethernet (из-за менее эффективного протокола доступа клиентских станций к среде передачи данных). Поскольку сети стандарта IEEE 802.11b (изначально предназначенные для предприятий) применяются теперь и в домах, судьба ориентированной на домашние сети спецификации HomeRF стала весьма неопределённой (особенно если учесть, что корпорация Intel, в прошлом один из крупнейших сторонников этой спецификации, сегодня поддерживает стандарт IEEE 802.11b).

    Специалисты должны тщательно отслеживать процесс создания новых стандартов. Стандарт IEEE 802.11b сыграл роль катализатора развития индустрии беспроводных ЛВС. Но широкое применение последних выявило серьёзные недостатки в их системе информационной безопасности, которые сегодня устраняются только с помощью фирменных решений. Следите за появлением стандартных решений в этой области и старайтесь спроектировать свою сеть таким образом, чтобы со временем можно было легко перейти на новые и улучшенные технологии.

    Производители и органы стандартизации совершенствуют беспроводные ЛВС по трём основным направлениям: увеличение скорости передачи данных, повышение степени информационной безопасности и реализация эффективно работающих механизмов обеспечения QoS. В идеале хотелось бы видеть один новый стандарт, охватывающий все эти улучшения. Причём желательно было бы иметь возможность обновлять ПО сетевого оборудования для поддержания нового стандарта. Но наш мир далеко не идеален, поэтому прогресс в деле развития беспроводных ЛВС по основным направлениям осуществляется с разной скоростью, приводя к появлению отдельных стандартов.

    Что касается увеличения скорости передачи данных, то здесь имеются значительные успехи. Стандартом IEEE 802.11a (который начали разрабатывать раньше, чем уже ставший популярным стандарт IEEE 802.11b) определён новый физический уровень, обеспечивающий скорость передачи данных до 54 Мбит/с. Хотя реальная пропускная способность сетей этого стандарта вряд ли будет превышать 25-30 Мбит/с, но такая скорость в пять раз больше реальной скорости передачи данных в нынешних беспроводных ЛВС стандарта IEEE 802.11b. Таким образом, будущий процесс внедрения на предприятиях оборудования стандарта IEEE 802.11a можно сравнить с процессом перехода от технологии Ethernet к технологии Fast Ethernet в проводных ЛВС.

    Стандартом IEEE 802.11a предусмотрено использование передовой радиотехнологии, получившей название «ортогональное частотное мультиплексирование» (Orthogonal Frequency Division Multiplexing — OFDM). Согласно этой технологии вместо последовательной передачи информации по одному высокоскоростному каналу осуществляется параллельная передача потоков данных по многочисленным отдельным поднесущим. В результате получается один широкополосный и помехоустойчивый канал с высокой пропускной способностью. Многие новейшие радиосистемы, включая широкомасштабные сети фиксированной и мобильной связи, основаны на этой технологии.

    Кроме того, в зависимости от качества и уровня принимаемого радиосигнала, OFDM-устройства могут динамически задействовать разные методы модуляции, обеспечивая тем самым либо высокую скорость передачи данных на небольшие расстояния, либо низкоскоростную, но надёжную связь на большие дистанции. Стоит также отметить, что оборудование стандарта IEEE 802.11b работает в перегруженном диапазоне частот 2,4 ГГц, а стандартом IEEE 802.11a предусмотрено использование более свободного диапазона 5 ГГц, в котором в США для нелицензируемой работы оборудования выделена более широкая полоса частот, примерно в три раза шире, чем та, которую используют в диапазоне 2,4 ГГц (300 МГц по сравнению с 83 МГц). Однако со временем и частотный диапазон 5 ГГц может стать сильно загруженным и несвободным от взаимных помех, создаваемых оборудованием.

    Переход на эту технологию связан с решением ряда сложных проблем. Прежде всего остаётся неизвестной дальность связи (между радиоадаптером и точкой доступа) в помещении, на которую можно рассчитывать при развёртывании беспроводных ЛВС стандарта IEEE 802.11a. Согласно законам физики, дальность связи в открытом пространстве уменьшается с ростом рабочей частоты, но в помещении помимо этого на неё влияют поглощение и отражение радиоволн. Кроме того, дальность связи зависит от мощности излучаемого радиосигнала и вида его модуляции. Поэтому очень трудно заранее определить этот параметр для любой радиотехнологии.

    По данным компании Mobilian, производящей компоненты оборудования стандартов IEEE 802.11a и IEEE 802.11b, для радиопокрытия одной и той же территории потребуется примерно в четыре раза больше точек доступа стандарта IEEE 802.11a, чем точек доступа стандарта IEEE 802.11b. Однако проведённые компанией Atheros испытания обоих типов оборудования в офисной среде показали другие результаты. Специалисты компании Atheros утверждают, что, если точки доступа размещены очень близко друг к другу (на расстоянии 18-24 м), то наложить сеть стандарта IEEE 802.11a на сеть стандарта IEEE 802.11b совсем несложно. Оборудование стандарта IEEE 802.11a обеспечивает передачу данных с максимальной скоростью 54 Мбит/с на расстояние около 15 м. При дальности связи 30 или 60 м скорость передачи падает до 36 или 6 Мбит/с соответственно. Помните, что реальная скорость передачи данных составляет примерно половину указанных здесь максимальных значений.

    Хотя с увеличением дальности (при использовании любого оборудования) скорость передачи данных снижается, согласно информации, полученной от компании Atheros и других фирм-производителей, в сетях стандарта IEEE 802.11a она всегда остаётся на более высоком уровне, чем в сетях стандарта IEEE 802.11b. Однако до тех пор пока оборудование стандарта IEEE 802.11a не поступит в продажу, и не будут проведены его дополнительные испытания, наложение сети стандарта IEEE 802.11a на сеть стандарта IEEE 802.11b останется сложной задачей, которую вряд ли можно решить только заменой радиоадаптера в двухслотовой точке доступа.

    Кроме того, существует проблема с обратной совместимостью нового оборудования. Сети стандартов IEEE 802.11a и IEEE 802.11b работают в разных частотных диапазонах, и большинство радиоадаптеров стандарта IEEE 802.11a, которые первыми появятся на рынке, будут поддерживать только этот стандарт. Двухрежимные радиоадаптеры (IEEE 802.11a/b) тоже поступят в продажу, но первое время они будут стоить дороже однорежимных, поскольку для поддержания каждого из рабочих режимов в них будут использоваться отдельные микросхемы. Первые инсталляции оборудования стандарта IEEE 802.11a будут иметь небольшое радиопокрытие по сравнению с зонами действия сетей стандарта IEEE 802.11b, что сделает невыгодной модернизацию ПК для большинства пользователей.

    Стоит отметить, что ведущие производители оборудования стандарта IEEE 802.11b не торопятся с выпуском устройств стандарта IEEE 802.11a. Первыми производителями этих устройств станут в основном небольшие компании, стремящиеся упрочить своё положение на рынке. И все же переход индустрии беспроводных ЛВС на новые высокопроизводительные технологии неизбежен, поскольку они обеспечивают не только более высокие скорости передачи данных, но и поддержку большего числа пользователей. Последнее особенно важно, поскольку беспроводные ЛВС становятся все более популярными и число их пользователей быстро растёт.

    Стандарт IEEE 802.11a — это не единственная высокоскоростная альтернатива стандарту IEEE 802.11b. Европейский институт стандартов электросвязи (European Telecommunications Standards Institute — ETSI) разработал высокоскоростной беспроводной стандарт HiperLAN/2, являющийся прямым конкурентом стандарту IEEE 802.11a. Эти стандарты имеют очень похожие спецификации на протоколы физического уровня, предусматривающие работу оборудования в частотном диапазоне 5 ГГц и использование технологии OFDM, но отличаются протоколами более высоких уровней. Если стандарт IEEE 802.11a базируется на протоколе CSMA (Carrier Sense Multiple Access), то в стандарте HiperLAN/2 предусмотрено централизованное управление доступом мобильных станций к радиоканалу с динамическим выделением им тайм-слотов. Этот детерминистический подход (аналогичный используемому в технологии Token Ring) более сложен в реализации, но зато обеспечивает необходимые уровни QoS (сегодня в стандарте IEEE 802.11a соответствующие механизмы отсутствуют) и облегчает интеграцию сетей HiperLAN/2 с сетями ATM. Однако в плане поддержания IP-приложений возможности обеих стандартов сопоставимы.

    Придётся ли нам стать свидетелями жёсткой конкуренции между ними? Возможно, но стандарт IEEE 802.11a имеет определённую «фору»: его поддерживают больше компаний — производителей компонентов для беспроводных устройств и первые основанные на нем продукты для конечных пользователей должны появиться на рынке раньше, чем появится оборудование стандарта HiperLAN/2. Кроме того, недалёк тот день, когда сети стандартов IEEE 802.11 начнут поддерживать механизмы QoS. Однако европейские регулирующие органы, отвечающие за электромагнитную совместимость систем связи, отдают предпочтение стандарту HiperLAN/2. В настоящее время, чтобы усилить позиции стандарта IEEE 802.11a, институт IEEE разрабатывает спецификацию IEEE 802.11h, в которой будут определены механизмы использования частот для оборудования этого стандарта.

    Ситуация со стандартами очень непроста для понимания, поскольку институт IEEE разрабатывает ещё один высокоскоростной стандарт — IEEE 802.11g — на беспроводные ЛВС, передающие данные на скоростях 20 Мбит/с и выше. Скорее всего он тоже будет основан на технологии OFDM. Хотя стандартом IEEE 802.11g не предусмотрена обратная совместимость с оборудованием стандарта IEEE 802.11b, в нем определено использование того же самого диапазона частот, в котором работает названное оборудование. Можно предположить, что производители выпустят радиоадаптеры, поддерживающие сразу оба стандарта — и IEEE 802.11b, и IEEE 802.11g, что должно упростить модернизацию сетей. Однако если вскоре начнутся широкомасштабные поставки оборудования стандарта IEEE 802.11a, то не исключено, что более медленный стандарт IEEE 802.11g окажется запоздалым и никому не нужным.

    Пока непонятно, что будут делать производители для обеспечения пользователям возможности модернизации своих точек доступа с целью поддержания более высоких скоростей передачи данных. Очевидно, что точки доступа, оснащённые съёмными радиоадаптерами (например, формата PC Card), будет модернизировать легче, чем точки доступа с интегрированными радиоадаптерами. Точки доступа с двумя слотами для радиоадаптеров смогут поддерживать стандарты IEEE 802.11a и IEEE 802.11b одновременно, но при этом не исключены проблемы с радиопокрытием (из-за разной дальности действия соответствующих радиотехнологий). Альтернативным подходом является наложение сети стандарта IEEE 802.11a (или IEEE 802.11g) на сеть стандарта IEEE 802.11b и независимое использование обеих сетей. Вероятно, данный подход несложно реализовать, но он неэффективен с точки зрения использования сетевой инфраструктуры. Если вы все же планируете сделать это, то заранее позаботьтесь о том, чтобы в сетевой инфраструктуре для каждой точки доступа имелось по два порта Ethernet (второй потребуется для подключения новой, высокоскоростной точки доступа).

    Глава 3.

    Беспроводные сети. Взлом и защита

    Многие пользователи и специалисты в первую очередь обращают внимание на скоростные возможности новых стандартов и технологий, но не менее важны и новые методы обеспечения информационной безопасности, призванные сделать нашу жизнь спокойнее. Используемый сегодня в сетях стандарта IEEE 802.11 метод обеспечения информационной безопасности, получивший название WEP (Wired Equivalent Privacy), основан на алгоритме шифрования RC4 с 40-битовым или 128-битовым ключом. К сожалению, этот метод имеет серьёзные недостатки, которые позволяют раскрыть передаваемую информацию, и предполагает распределение ключей шифрования вручную.

    Решить эти проблемы призвана новая система сетевой безопасности, разработанная институтом IEEE и описанная в стандарте IEEE 802.11x. Она ориентирована на все виды сетей доступа (проводные и беспроводные), соответствующие стандартам IEEE. В ней предусмотрены подсистемы аутентификации, шифрования и распределения ключей шифрования. Система, о которой идёт речь, предназначена для совместной работы с существующими средствами защиты данных, поддерживающими стандарты EAP (Extensible Authentication Protocol) и RADIUS (Remote Access Dial-in User Service).

    Ещё один новый стандарт, IEEE 802.11i, определяет специфические для беспроводных сетей, включая инфраструктуры стандартов IEEE 802.11b и IEEE 802.11a, защитные функции. Учитывая сильную поддержку новых стандартов обеспечения информационной безопасности со стороны таких крупных компаний, как Cisco Systems и Microsoft, можно предположить, что соответствующие этим стандартам сетевые продукты появятся в начале следующего года.

    Стоит отметить, что ОС Microsoft Windows XP поддерживает стандарты IEEE 802.11x и EAP. Благодаря этому, пройдя единую процедуру аутентификации, пользователь получает возможность работать как в беспроводной, так и в инфраструктурной сети. Чтобы воспользоваться преимуществами новых методов защиты данных, необходимо проделать определённую работу по интеграции проводной сети с беспроводной. Должно пройти ещё некое время, прежде чем большинство производителей начнут поддерживать новые стандарты сетевой безопасности. Кроме того, могут возникнуть проблемы с совместимостью решений от разных производителей.

    Обеспечить необходимые уровни качества обслуживания трафика в беспроводных сетях призван другой новый стандарт — IEEE 802.11e.

    В нем определены асинхронная и контролируемая по времени передачи данных. Последняя нужна для пересылки аудио— и видеоинформации. Кроме того, для разных видов потоков данных предусмотрена возможность использования разных методов передачи. Например, для пересылки чувствительного к задержкам видеопотока вместо механизма повторной передачи пакетов можно задействовать метод упреждающей коррекции ошибок. Одновременная поддержка в оборудовании стандартов IEEE 802.11e и IEEE 802.11a позволит получить примерно такой же набор рабочих характеристик и функциональных возможностей, какой предусмотрен стандартом HiperLAN/2.

    Необходимые для качественной передачи аудио— и видеоинформации механизмы обеспечения QoS беспроводной ЛВС должны быть интегрированы с соответствующими механизмами инфраструктурной сети, а на это потребуется некоторое время. Возможно, до появления корпоративных приложений, использующих механизмы QoS для беспроводных ЛВС, пройдут годы. Гораздо быстрее интегрированные (предназначенные для передачи речи, видео и данных) беспроводные ЛВС появятся в жилых домах. Однако не стоит откладывать развёртывание беспроводной ЛВС, ожидая появление продуктов с новыми функциями. Возможностей сегодняшних устройств вполне хватает для нормальной работы большинства приложений. Предварительно обсудив с представителями фирмы-производителя её планы по модернизации выпускаемого оборудования, смело разворачивайте у себя беспроводную ЛВС, функциональность которой вы со временем сможете улучшить.

    Предлагаемые методы защиты

    Маскировка сети

    Если отключить широковещательную передачу узлом доступа «маячковых» сигналов с идентификатором сети, то теоретически такая сеть становится «скрытой». Пользователь, находясь в зоне доступа «скрытой» сети, не получает «маячковых» сигналов от узла доступа. Следовательно, не может определить идентификатор сети. А если у него нет идентификатора, то и подключиться к сети он тоже не может. О надёжности такого способа маскировки позднее, а пока для подключения к «скрытой» сети пользователю необходимо ввести значение сетевого идентификатора вручную.

    Шифрование передаваемых данных

    Реализованный в протоколе 801.11 метод — WEP. Это симметричный способ шифрования, когда для кодирования и декодирования данных используется один и тот же кодирующий ключ, состоящий из двух частей. Одна часть — секретный ключ, хранится у получателя и отправителя. Вторая — вектор инициализации — генерируется случайным образом в системе отправителя. На основании этих двух значений вычисляется псевдоуникальный кодирующий ключ.

    Данные между сетевыми системами передаются в виде пакетов. Структурно, каждый пакет состоит из двух частей — заголовка и тела. В заголовке хранится служебная информация, в частности, идентификатор сети, аппаратные адреса получателя и отправителя. В теле передаются данные и значение контрольной суммы передаваемых данных (ICV), используемое получателем для проверки целостности данных.

    Для каждого нового сетевого пакета применяется новый кодирующий ключ. Причём, кодируется только тело пакета. В заголовок добавляется значение вектора инициализации соответствующего данному пакету кодирующего ключа. Содержание заголовка не кодируется и передаётся в открытом виде.

    Если используемый системой генератор случайных чисел достаточно качественен в статистическом отношении, то проведённая операция шифрования обеспечивает шумоподобный характер передаваемых данных, что в теории, без знания секретного ключа, делает возможность декодирования перехваченного сообщения очень длительным процессом даже при современной вычислительной технике.

    При расшифровке пакета получателем программа кодирования инициализируется секретным ключом и извлечённым из полученного пакета значением вектора инициализации. После расшифровки тела сетевого пакета, система вычисляет контрольную сумму полученных данных и сравнивает со значением контрольной суммы, переданной отправителем в этом же пакете. При положительном результате данные начинают обрабатываться, и отправителю передаётся подтверждение удачного приёма. В противном случае, отправитель повторно осуществляет передачу.

    Контроль доступа

    Сетевой доступ к какому-либо беспроводному устройству можно избирательно контролировать, используя список контроля доступа. Там указываются аппаратные адреса сетевых устройств, связь с которыми разрешена. Соответственно, любая сетевая активность устройств с аппаратными адресами, не внесёнными в список, будет проигнорирована. Данный вид защиты основан на том, что аппаратный адрес — это уникальный идентификатор устройства, присваиваемый производителем. Теоретически, двух сетевых устройств с одинаковым аппаратным адресом быть не может. Следовательно, на основании этой характеристики сетевого устройства можно однозначно идентифицировать его владельца.

    В стандартах рассматриваемых беспроводных сетей были изначально заложены механизмы идентификации клиентов (по аппаратным адресам), защиты (WEP) и контроля целостности передаваемых данных. Исходя из предоставленных разработчиками технологии средств, в теории, беспроводная сеть должна быть наиболее защищена при работе в режиме инфраструктуры (когда весь трафик клиентов проходит через узел доступа) с включённым WEP-кодированием и фильтрацией аппаратных адресов беспроводных клиентов.

    Методики нападения

    Главным преимуществом беспроводных сетей (равно как и их ахиллесовой пятой) является доступность физической среды передачи данных — радиоэфира. И если для площадок общественного доступа к сетевым ресурсам (hot spots) такая возможность это благо, то для домашних или локальных сетей доступность за пределами ограниченной территории, определённой стенами офиса или квартиры, совершенно излишня. Пространственно зона доступа одного узла представляет собой сферу, радиус которой определён максимальным удалением от центра с сохранением устойчивого качества работы беспроводных клиентов. На практике, реальная пространственная зона доступа далека от геометрически красивой фигуры из-за поглощения окружающей физической средой радиосигнала. Говоря нормальным языком, при одинаковом оборудовании размеры зон доступа в кирпичных и панельных зданиях с железобетонными перекрытиями будут различаться. Надо быть готовым, что, настроив офисную беспроводную сеть, можно не только обеспечить подключение из любой точки офиса, но и из таких неожиданных мест, как чердак, автостоянка или здание напротив. Если для защиты от вторжения при прокладке кабельных сетей можно было использовать экранированную витую пару, то в качестве аналогичного решения для физического ограничения пространственной зоны доступа беспроводной сети придётся использовать экран из заземлённой металлизированной сетки, натянутой по границам зоны доступа. Можно представить, что укладка такого экрана даже в случае небольшой офисной сети будет нелёгким и недешёвым удовольствием.

    Также следует заметить, что максимальное расстояние от клиента до точки доступа напрямую зависит от используемого оборудования. Так, при работе с направленной антенной для адаптера DWL-520 удалось установить подключение к офисной сети с расстояния порядка 450 метров, тогда как со встроенной антенной максимальное удаление было около 80 метров.

    Прослушивание (Sniffing)

    Сбор информации об атакуемом объекте — это необходимый этап при подготовке атаки. К сожалению администраторов и владельцев беспроводной сети, пассивное прослушивание и анализ передаваемой информации может предоставить сторонним наблюдателям достаточно данных для успешного проникновения в сеть. И предусмотренные разработчиками методы защиты не смогут этому помешать.

    Для сбора информации достаточно войти в зону покрытия сети, и, воспользовавшись рабочей станцией с беспроводным сетевым интерфейсом, подключить программный анализатор сетевого трафика (например, Kismet или Ethereal). Если WEP-кодирование не включено (обычная заводская настройка оборудования), наблюдатель видит в открытом виде все данные, передаваемые в сети. Если WEP-кодирование все-таки включено, то, следует заметить, кодируются только данные, передаваемые в сетевом пакете, а заголовок пакета передаётся в открытом виде. Из анализа заголовка можно извлечь информацию об идентификаторе сети, аппаратных адресах узлов доступа и клиентов сети, а также значение вектора инициализации, используемое получателем для дешифровки полученных данных.

    Как можно себе представить, прослушивание и анализ перехваченных сетевых пакетов делает попытки сокрытия беспроводной сети несостоятельными за счёт отключения широковещательной передачи узлами доступа «маячковых» сигналов.

    Подделка аппаратного адреса (MAC spoofing)

    Использование механизма идентификации клиентов по аппаратным адресам сетевых интерфейсов для доступа к сетевым ресурсам — не самая лучшая идея. Перехватив и проанализировав сетевой трафик, можно за короткое время получить список аппаратных адресов всех активных клиентов. Задача же изменения аппаратного адреса своего сетевого интерфейса давно решена. Под «линуксоподобными» операционными системами достаточно воспользоваться стандартной сетевой утилитой ifconfig, а для Windows-систем надо трудиться несколько больше, переставляя драйвер сетевого интерфейса или устанавливая дополнительную утилиту.

    Взлом криптозащиты

    Дьявол прячется в деталях. Стандарт 802.11 предусматривает две длины ключей — 40 бит и 104 бита. При длине ключа в 104 бита декодирование данных прямым перебором становится довольно утомительным занятием даже при работе новейшей вычислительной техники. На первый взгляд, реализованный в WEP-механизм криптозащиты должен быть устойчив ко взлому. Но обратите внимание на следующий факт: обе стороны (отправитель и получатель) должны обладать секретным ключом, используемым вместе с вектором инициализации для кодирования и декодирования информации. А в стандарте 802.11b не оговорён механизм обмена ключей между сторонами. В результате, при интенсивном обмене данными, реальна ситуация повторного использования значений векторов инициализации с одним и тем же секретным ключом. Особенность реализованного алгоритма криптозащиты приводит к тому, что, имея два сетевых пакета, зашифрованных одним кодирующим ключом, можно не только расшифровать данные, но и вычислить секретный ключ. Это позволяет не только декодировать всю перехваченную информацию, но и имитировать активность одной из сторон.

    Тонкость работы с алгоритмом кодирования, реализованном в WEP, в том, что нельзя допускать повторного использования кодирующих ключей. И этот момент был упущен при разработке стандарта.

    Посредник (Man-In-The-Middle)

    Данный вид атаки использует функцию роуминга клиентов в беспроводных сетях. Злоумышленник на своей рабочей станции имитирует узел доступа с более мощным сигналом, чем реальный узел доступа. Клиент беспроводной сети автоматически переключается на новый узел доступа, передавая на него весь свой трафик. В свою очередь, злоумышленник передаёт этот трафик реальному узлу доступа под видом клиентской рабочей станции. Таким образом, система злоумышленника включается в обмен данными между клиентом и узлом доступа как посредник, что и дало название данному виду атаки — Man-In-The-Middle. Эта атака опасна тем, что позволяет взламывать защищённые соединения (VPN), устанавливаемые по беспроводной сети, вызывая принудительную реав-торизацию VPN-клиента. В результате злоумышленник получает авторизационные данные скомпрометированного им клиента.

    Отказ в обслуживании

    Сама среда передачи данных предоставляет возможность силовой атаки на беспроводные сети. Цель подобного нападения — снижение производительности сети или ухудшение качества сетевого обслуживания вплоть до полного паралича сети. Атаки подобного вида называются DoS (Denial of Service) или DDoS (Distributed DoS). В процессе нападения злоумышленник передаёт трафик, объём которого превышает возможности пропускной способности сетевого оборудования. Или сетевые пакеты со специально нарушенной внутренней структурой. Или имитируя команды узла доступа, вызывает отключение клиентов и т.д. и т.п. Злоумышленник может избирательно атаковать как отдельную рабочую станцию или точку доступа, так и всех клиентов сети. DoS-атака может быть и непреднамеренной. Например, вызванная включением радиопередающего оборудования, работающего на той же частоте, что и беспроводная сеть.

    Возможно, DoS-атака не так изящна как проникновение в сеть со взломом криптозащиты, зато убийственно эффективна. С учётом того, что нельзя избирательно ограничивать доступ к физической среде передачи данных в беспроводных сетях — радиоволнам, вероятно, придётся смириться с существованием ещё одной ахиллесовой пяты данной технологии.

    Сетевой взлом клиентов беспроводной сети

    Тема локализации и устранения уязвимости программного обеспечения непосредственно не относится к вопросу безопасности беспроводных сетей, но является достаточно важной, чтобы кратко упомянуть о ней. Тем более что, получив доступ в сеть, злоумышленник вполне может атаковать клиентов сети для получения доступа к их ресурсам.

    Проверка надёжности разнообразного программного обеспечения на нескольких десятках клиентских машин с разными операционными системами весьма нетривиальная задача даже для опытного специалиста. Удобным инструментом, позволяющим отчасти автоматизировать и ускорить процедуру проверки надёжности защиты компьютерных систем, является сканер безопасности. По результатам исследования систем, сканер формирует отчёт с описанием обнаруженных явных и потенциальных уязвимостей, их анализом и рекомендациями по устранению. К самым известным в данной области можно отнести такие программные сканеры как: ISS (Internet Security Scanner), Retina, Nessus.

    Аудит

    Провести аудит защиты беспроводной сети и убедиться в её недостаточности можно при помощи свободно распространяемых программ AirSnort или Wellenreiter. У них сходный принцип действия. Они позволяют определять рабочий канал беспроводной сети, её идентификатор и аппаратные адреса активных сетевых клиентов, а также взломать WEP-защиту. Из всех этих задач взлом криптозащиты — наиболее длительное занятие, требующее несколько часов; для сбора остальных данных достаточно минуты. Для определения секретных ключей, в среднем, необходимо перехватить и проанализировать порядка 8-10 миллионов зашифрованных сетевых пакетов (это примерно 6 часов работы при средней загрузке узла доступа). После перехвата пакета, зашифрованного уже использованным кодирующим ключом, восстановить секретный ключ — секундное дело.

    В том, что взлом беспроводных сетей превратился в народное развлечение, можно убедиться, заглянув на ресурсы WiFinder и Wingle, где собрана информация о беспроводных сетях с указанием их точного географического положения и технических характеристик. Карты сетей, представленные этими ресурсами, чем-то неуловимо напоминают дорожный список отелей и ресторанов для путешественников. Кстати, из владельцев российских сетей указаны только отели «Мариотт».

    Выводы и рекомендации

    Проанализировав приведённые выше данные о методиках злоумышленников, можно убедиться, что предусмотренных в технологии беспроводных сетей средств недостаточно для адекватной защиты. Скрытая сеть легко находится, аппаратные адреса имитируются, а WEP-защита взламывается. Это не означает, что следует отказываться от использования беспроводных сетей, просто следует учитывать, что на данный момент это потенциально опасная среда передачи данных. Из этого вывода сразу следуют общие рекомендации по защите. Рекомендуемые методики непосредственно не связаны с беспроводными сетями и были давно отработаны в другой потенциально опасной среде — в Интернете:

    • для авторизации пользователей можно использовать технологию RADIUS (Remote Authentication Dial-In User Service);

    • уменьшение риска сетевого взлома на серверах и рабочих станциях достигается использованием программных брандмауэров (firewall);

    • идентифицировать активность злоумышленников лучше на ранней стадии; для этого служат сетевые системы обнаружения вторжения и системы-ловушки;

    • для защиты передаваемой информации от несанкционированного доступа лучше отказаться от потенциально небезопасных прикладных протоколов, передающих данные в открытом виде (FTP, TELNET, SMTP и т.д.), заменив их криптозащищенными аналогами или использовать крип-тозащиту на сетевом уровне — VPN, IPSEC;

    • а с DoS-атакой, как уже было замечено выше, придётся смириться.

    Глава 4.

    Настоящее и будущее

    Неудивительно, что разработчиков стандарта 802.11 не удовлетворила низкая практическая надёжность механизмов защиты беспроводных сетей. Следствием этой неудовлетворённости стала призванная заменить WEP криптозащита WPA, базирующаяся на временном протоколе целостности ключей (TKIP), задача которого — не допустить повторного использования кодирующих ключей. WPA обеспечивает обратную совместимость с WEP, что позволяет использовать её на той же аппаратной базе. Но TKIP рассматривается всего лишь как временная мера. Более криптоустойчивые методы защиты (например, AES) требуют уже другого аппаратного обеспечения, что должно привести к полной замене существующего оборудования беспроводной локальной сети.

    Беспроводные сети имеют хорошую потенциальную возможность стать настолько же распространённым сервисом, как и сотовая телефонная связь. Достигнуто многое, но самое главное, что существуют возможности дальнейшей эволюции и совершенствования беспроводных технологий передачи данных. Не стоит только забывать, что до окончательной оптимизации технологий, как с точки зрения максимальной производительности сетей, так и вопросов безопасности, ещё далеко. И, пожалуй, не стоит облегчать задачу взломщикам, пренебрегая пока немногими и ещё несовершенными средствами безопасности.

    Глава 5.

    Что такое Barsum Wi-Fi?

    Barsum Wi-Fi — это универсальная программная платформа для развёртывания Wi-Fi зоны c использованием любых точек доступа любых производителей. Основные функции Barsum Wi-Fi — контроль доступа в сеть и биллинг, однако платформа включает в себя все необходимые сервисные функции для полноценного функционирования хот-спота, такие как генерация PIN-кодов для карточек доступа, гибкая схема тарификации, припейд/постпейд оплата, интеграция с PMS или другими биллинговыми системами и т.д.

    Barsum Wi-Fi является идеальным stand-alone решением для организации коммерческой услуги доступа в Интернет на отдельно взятом объекте, а также может стать компонентом программного комплекса Интернет-оператора, отвечающим за учёт и управление беспроводными сетями на объектах клиентов.

    Программный комплекс Barsum Wi-Fi является компонентом Автоматизированной Системы Расчётов «Барсум Оператор» (сертификат соответствия ССС № ОС/1-СТ-344) и предназначен для решения задач организации биллинга и авторизации клиентов в широкополосных сетях беспроводного доступа стандарта IEEE 802.11x (Wi-Fi).

    Основные возможности Barsum Wi-Fi:

    • авторизация клиента при подключении к беспроводной сети Wi-Fi;

    • контроль доступа клиента к сети на основании установленных для него расчётных схем и тарифных планов;

    • генерация кодов доступа с проверкой уникальности;

    • создание и управление тарифными планами;

    • тарификация клиентов в реальном времени;

    • администрирование и разграничение прав доступа к управлению системой;

    • учёт чистого времени клиента, проведённого в сети INTERNET (учёт времени между операциями login/logout);

    • печать отчётов о проданных и сгенерированных картах;

    • доступ и учёт для проводных Ethernet-сетей.

    Преимущества Barsum Wi-Fi:

    • удобные средства управления и администрирования системы;

    • работа по дебетовой и кредитной схемам оплаты;

    • мониторинг и отчётность по работе системы;

    • интегрируемость — возможность взаимодействия с внешними программными системами (PMS в гостиницах, системы биллинга сторонних производителей и т.д.);

    • модульность — может поставляться с дополнительными

    модулями, позволяющими расширять спектр предоставляемых услуг;

    • применён широкий опыт создания и внедрения систем тарификации традиционной телефонии;

    • оперативная техническая поддержка.

    Функциональные возможности Barsum Wi-Fi

    Система доступа:

    • для доступа в Интернет посредством Wi-Fi клиенту достаточно открыть окно браузера, после чего ему будет предложено ввести PIN-код доступа

    • c использованием предоплатных карт с PIN-кодом, доступ к сети Wi-Fi возможен в любой момент. Клиент может воспользоваться услугами сети Wi-Fi по своему желанию и без участия оператора

    • для прохождения процесса авторизации клиенту не нужно устанавливать на своём компьютере никаких дополнительных приложений и настроек. Весь процесс авторизации клиента происходит через WEB-интерфейс

    • после прохождения процесса авторизации клиент получает полный доступ в Интернет и может пользоваться всеми необходимыми сервисами, включая VPN-соединения

    • возможность ограничения доступа клиента к сети Интернет в зависимости от объёма трафика, продолжительности сеанса работы, стоимости трафика, срока действия PIN-кода

    • также можно использовать совмещённые схемы ограничения доступа (одновременное ограничение по объёму трафика и по времени и т.д.)

    • каждому клиенту выдаётся уникальный PIN-код, который используется только один раз для активации услуги доступа и не может быть использован повторно

    • встроенный DHCP-сервер

    • встроенный WEB-сервер

    • встроенный сервер авторизации

    • существует две схемы предоставления PIN-кода клиентам:

    • предварительная генерация PIN-кодов с последующей передачей/продажей клиентам карточек, содержащих PIN-код

    • генерация PIN-кода в момент обращения клиента к оператору с распечаткой PIN-конверта. При этом возможно использование «post-paid» тарификации с последующим выставлением счета клиенту (схема, как правило, используемая в гостиницах для предоставления доступа к сети Интернет постояльцам гостиницы)

    Система тарификации:

    • тарификация услуг в режиме реального времени

    • тарификация по времени и/или объёму трафика

    • поддержка нескольких тарифных таблиц

    • зависимость тарифа от времени суток, типа дня, даты, направления трафика

    • учёт налогов

    • мультивалютность

    • администрирование и работа с системой

    • разграничение прав пользователей

    • использование логинов и паролей для авторизации пользователей в системе

    • разграничение доступа к интерфейсам системы (просмотр, редактирование данных, запрет доступа)

    • разграничение доступа к данным системы (возможность скрывать те или иные данные для различных пользователей)

    • управление системой посредством пользовательских GUI-интерфейсов

    • отображение информации о состоянии карт доступа в режиме реального времени

    • логирование системных событий (активация пользователями PIN-кода, прохождение пользователями авторизации и т.д.)

    • логирование действий пользователей системы с привязкой всех действий ко времени и имени пользователя

    • автоматический журнал ошибок

    • учёт дилеров карт доступа (справочник дилеров, привязка карт к дилерам)

    • управление процессами сбора статистики и тарификации (настройка периода времени сбора статистики с коммутационного устройства, настройка периода тарификации, настройка периода обмена данными через PMS во внешние информационные системы автоматизации гостиничного бизнеса)

    • автоматизация процесса резервного копирования базы данных

    Отчётность:

    • встроенный генератор отчётов

    Взаимодействие с гостиничными PMS

    Наличие модуля интеграции с PMS позволяет оператору гостиничной системы, пользуясь единым интерфейсом гостиничной системы, предоставлять PIN-коды для доступа в Интернет постояльцам гостиницы и производить расчёт за услуги доступа в общем счёте клиента.

    Принцип работы

    Производится регистрация гостя в гостиничной системе. При регистрации клиента указывается «Группа ограничений» карты, присутствующая в Barsum Wi-Fi. Либо указывается номер непроданного PIN-кода, существующего в системе Barsum Wi-Fi. Для клиента распечатывается PIN-конверт.

    Гостиничная система передаёт данные модулю Barsum Wi-Fi PMS о регистрации клиента.

    Модуль Barsum Wi-Fi PMS помечает указанный PIN-код как проданный, либо создаёт новую карту в случае, если при регистрации клиента была указана группа ограничений. В системе Barsum Wi-Fi появляется запись о зарегистрированном госте.

    После активации карты клиентом вся стоимость за трафик передаётся в гостиничную систему.

    При выписке клиента в гостиничной системе выставляется счёт, который включает в себя стоимость использованных услуг Интернет. В системе Barsum Wi-Fi приписанная карта к клиенту помечается как израсходованная.

    Приём платежей по банковским-картам и Интернет-платежей

    Данный модуль позволяет, при заключении дополнительного соглашения с ASSIST, продавать услуги доступа владельцам пластиковых банковских карт (VISA, MASTER и т.д.).

    Переход к платёжной системе осуществляется в случае, если при попытке подключения абонента он нажал соответствующую кнопку в появившемся окне, где ему предлагается ввести имеющийся или купить PIN-код для доступа.

    По факту успешной оплаты в платёжной системе, в модуль Barsum Wi-Fi передаются данные об оплате определённого тарифного плана, после чего для пользователя генерируется и выдаётся новый PIN-код с соответствующим тарифным планом.

    Глава 6.

    Локальная сеть в мобильном офисе

    Прежде чем говорить о мобильной сети в офисе, давайте представим сотрудников этого офиса и сферу их деятельности. Кому требуется мобильность и оперативность получения информации? Первыми, по известной причине, приходят на ум журналисты.

    Следующими будут работники торговой сферы. Этот термин не сводится к тётушкам в халатах в залах супермаркетов, хотя высокотехнологичные решения существуют и для них. Речь идёт обо всех, чья работа заключается в продаже и покупке товаров. Именно им нужна горячая информация, причём не только в тот момент, когда они сидят за дисплеем в офисе, но и за его пределами.

    Ранее все технологии обработки и передачи информации в этом секторе сводились к использованию телефона, калькулятора да изредка факсимильного аппарата. Во времена становления капитализма на обломках Союза ССР чуть ли не каждый третий наш соотечественник попробовал себя в роли торговца — от челнока до брокера на товарно-сырьевой бирже. Но если работа первых сводилась к немудрящему отовариванию в одном месте и распродаже в другом, то брокерам, а проще говоря, посредникам, приходилось шевелить мозгами на порядок интенсивнее. Это хорошо описано в анекдоте той поры. Первый брокер сообщал второму, что срочно требуется вагон сахара. Второй отвечал ему: «О’кей, найдём, но в обмен на цистерну топлива». Первый убегал искать цистерну топлива, второй же отправлялся на поиски вагона сахара. Скорее всего, и то, и другое успешно находилось и продавалось. Но для этого нужно было совершить не менее сотни телефонных звонков и около десятка встреч. Словом, найти пресловутый вагон или цистерну было довольно непросто, а уж каким образом за неё рассчитывались — вопрос отдельный. В эпоху вынужденного бартера цепочка из трех-четырех обменов считалась нормальной практикой. И добивался успеха тот, кто раньше узнавал о предложениях сахара или топлива, а также вариантов бартера, то есть владел информацией и оказывался в нужном месте быстрее, иначе говоря, обладал мобильностью.

    Сегодня торговать чем бы то ни было значительно проще, чем на заре девяностых. Интернет стал доступен каждому, и на скоростях гораздо больших, чем подключение к BBS тогдашних бирж через модем по протоколу MNP-5. С мобильностью тоже все устаканилось — сейчас имеется выбор из нескольких вариантов доступа к информации «в походных условиях». Это тандем из ноутбука и мобильного телефона, связка мобильник-КПК, смартфон для тех, кто предпочитает интегрированные решения, либо GPRS-модули для лэптопов и наладонников. И уже не редкостью стали совещания в торговых фирмах, где перед сотрудниками лежат не пухлые ежедневники, а гораздо более изящные карманные компьютеры или гордо открытые экраны ноутбуков. И все эти устройства связаны друг с другом, то есть представляют собой мобильный офис, объединённый в незримую сеть.

    Каким же образом осуществляется связь составляющих мобильного офиса? Оставим в стороне кабели и провода, так как мобильным такой офис назвать трудно. Тогда нам останется только два варианта: радиоинтерфейсы Wi-Fi и Bluetooth. Последний, правда, малопригоден для организации компьютерной сети, но может использоваться как шлюз к проводным сетям Ethernet. Что же касается Wi-Fi, это целый класс решений для беспроводных локальных сетей (WLAN), обеспечивающий разные скорость и дальность передачи информации.

    Как выше было сказано что, по классификации IEEE (Institute of Electrical and Electronics Engineers, Inc.), определяющего стандарты в области электротехники, беспроводные сети описываются семейством стандартов 802.11, лидирующим из которых стал 802.11a (хотя возник он уже после 802.11b). Он обеспечивает скорость передачи данных до 54 Мбит/с в диапазонах 5,15-5,35 ГГц и 5,725-5,85 ГГц. К сожалению, в России первый диапазон относится к категории «для правительственного использования», поэтому использование такой аппаратуры может вызвать некоторые неприятности. Вторую полосу частот использует для своих нужд российская армия, поэтому и здесь можно столкнуться с лицензионными ограничениями. Впрочем, эти вопросы решаемы, да и радиус действия адаптеров связи 802.11a не превышает пары десятков метров.

    Второй по популярности протокол беспроводной связи носит имя 802.11b, кстати, именно его и назвали впервые Wi-Fi. Устройства этого стандарта ведут передачу на частотах около 2,4 ГГц. В большинстве стран Европы и Северной Америки вещание в этом диапазоне (называемом ISM — Industrial, Scientific, Medical) не требует лицензирования. Дальность передачи стандарта «b» составляет 100 метров, но скорость ограничена 11 мегабитами в секунду. Зато в придачу к большему радиусу действия пользователь получает повышенную помехозащищённость. А уж для обмена информацией бизнес-характера 11 Мбит/с хватит за глаза. Следует только учитывать, что в этом диапазоне довольно сильно шумят и микроволновые печи, столь популярные в офисах, так что во время подготовки к трапезе можно ожидать снижения пропускной способности WLAN-сети на базе 802.11b.

    Последний, принятый IEEE в июне 2003 г., стандарт беспроводной связи именуется 802.11g и также, как и 802.11a, обеспечивает обмен данными на скорости до 54 Мбит/с в диапазоне 2,4 ГГц. Одно из главных преимуществ нового протокола в том, что соединение, установленное с его помощью, обладает повышенной устойчивостью. К тому же этот стандарт обратно совместим со своим предшественником 802.11b. Таким образом, если в вашем мобильном офисе уже есть устройства, работающие по протоколу 802.11b, можно без опаски приобретать новое оборудование стандарта 802.11g. Адаптеры и точки доступа такой смешанной сети будут прекрасно понимать друг друга. Радиус действия устройств 802.11g на скорости 54 Мбит/с составляет 15 метров, обеспечивается качественная связь даже при отсутствии прямой видимости между устройствами.

    Мобильная сеть с использованием протоколов 802.11х сегодня строится достаточно просто. На рынке имеется масса адаптеров, коммутаторов и точек беспроводного доступа самых разных производителей. Владелец ноутбука может воспользоваться адаптером формата PCMCIA (PC Card), Secure Digital и даже USB. Существуют и варианты подключения Wi-Fi адаптеров к обычным портам Ethernet, такие устройства, например, выпускает компания Buffalo. Правда, габариты и масса этих адаптеров не позволяют назвать их мобильными. Гораздо удобнее в использовании карты расширения для ноутбуков.

    В последнее время производители начинают встраивать оборудование Wi-Fi в мобильные компьютеры, а кое-кто даже делает это ключевым элементом маркетинговой политики. Так, в начале года пионер IT-инноваций, корпорация Intel, вывела на рынок мобильную платформу Centrino.

    Краеугольный «камень» этой архитектуры — процессор, известный ранее под кодовым названием Banias, а также чипсет Intel 855 с интегрированным видеоконтроллером Intel Extreme Graphics 2 (опционально) и адаптер WLAN Intel PRO/Wireless 2100 (протокол 802.11b). Все компоненты Centrino подобраны таким образом, чтобы максимально увеличить продолжительность автономной работы ноутбука. Так, центральный процессор, благодаря технологиям Intel SpeedStep и Mobile Voltage Positioning, может работать на разных частотах и напряжениях. Разумный шаг, особенно в свете того обстоятельства, что беспроводная связь изрядно увеличивает энергоаппетиты ноутбуков. Контроллер WLAN тоже интеллектуализирован в плане энергосбережения — технология Intelligent Scanning Technology снижает энергопотребление путём управления частотой сканирования при поиске точек доступа. Пользователь может выбрать один из пяти режимов энергопотребления беспроводного адаптера, что позволяет ему самостоятельно установить соотношение между энергопотреблением и производительностью при питании ноутбука от батарей.

    Все перечисленные технологии опосредованно влияют, причём положительным образом, на габариты и вес ноутбука, так что решения на платформе Centrino будут неплохим выбором для мобильного офиса. Стоимость ноутбука с логотипом Centrino от известного производителя приближается к двум тысячам долларов. За эти деньги пользователь получает систему на процессоре Pentium-M с частотой 1,3 ГГц с мегабайтом кэша, 14-дюймовый экран, отдельный, либо интегрированный видеоадаптер, 128 Мбайт памяти, оптический накопитель, винчестер на 20 Мбайт — то есть полноценный компьютер, производительности которого хватит на работу со всеми офисными приложениями. Известный российский производитель, компания DVM Group, предлагает Centrino-ноутбуки серии Roverbook Nautilus; компании iRu и Bliss также отметились в этом секторе своими линейками Stilo и 50хх соответственно.

    Счастливым обладателям КПК беспроводная связь доступна посредством адаптеров с интерфейсами CompactFlash, Secure Digital и PCMCIA. Правда, разъёмами последнего типа оборудована небольшая часть наладонников, и стоят адаптеры к ним порядка 80 «зелёных». Покупать их могут и те, чьи КПК имеют «жакет» расширения с PCMCIA-разъёмом. Но лучше приобрести WLAN-карту в формате CompactFlash, так как это самые компактные карты расширения мобильных устройств. Стоимость таких беспроводных адаптеров не превышает ста долларов.

    Кстати, компания SanDisk недавно анонсировала новые продукты — серия флэш-карт Connect предоставляет пользователям как беспроводную связь стандарта 802.11b, так и дополнительную память объёмом 128, либо 256 Мбайт. Первые стоят около $130, вторые, более ёмкие — в районе 150 долларов США. Это решение интересно тем, что позволяет не жертвовать памятью ради связи и наоборот. Впрочем, если ваш наладонник бизнес-класса выпущен недавно, вполне возможно, что он уже оборудован адаптером беспроводной связи. Например, адаптерами WLAN стандарта 802.11b оснащены КПК Toshiba e740 и iPAQ H5450. Другие производители тоже расширяют функциональность своих изделий в плане беспроводной коммуникабельности.

    Итак, все сотрудники мобильного офиса обзавелись портативными или карманными компьютерами с возможностью подключения к беспроводной сети. Уже сейчас можно начинать совместную работу, но надо учесть некоторые ограничения. Так, максимальное число участников сети, при котором возможна устойчивая связь, равняется восьми и превышать это количество не рекомендуется. Компьютеры с беспроводными адаптерами могут связываться друг с другом в режиме «ad hoc». Это соединение типа «точка-точка» (peer-to-peer) и его особенность в том, что отдельные абоненты сети могут устанавливать связь даже на расстояниях, превышающих радиус действия их Wi-Fi адаптеров. Если между компьютерами, находящимися далеко друг от друга, поместить ещё одного абонента беспроводной сети, связь будет возможна при его посредничестве. Но если он выйдет за пределы досягаемости одного из адаптеров, связь между удалёнными компьютерами прервётся. Так что этот вариант применим лишь в случае компактного расположения абонентов и небольшом их количестве. К тому же, в данном случае невозможно организовать доступ пользователей к ресурсам проводной сети Ethernet. А если кому-то из сотрудников понадобится распечатать прайс-лист или деловое предложение, придётся приобретать беспроводной принт-сервер (такие выпускает, например, компания Linksys) — это коробочка с парой антенн, подключаемая к обычному принтеру.

    Мобильный офис с большей площадью и населённостью придётся оборудовать так называемой «точкой доступа» (Wireless Access Point или сокр. WAP или AP). Это устройство исполняет функции коммутатора и/или маршрутизатора, а также способствует увеличению дальности действия беспроводной сети до 200 метров. Как правило, точка доступа располагается высоко на стене или даже на потолке офиса.

    К преимуществам использования точки доступа можно отнести ещё и отсутствие коллизий, часто возникающих при связи «ad hoc», и повышенную степень защиты передаваемых данных. Точка доступа в силу своей стационарности может быть подключена к локальной сети офиса, что обеспечит связь настольных ПК и мобильных компьютеров.

    Наконец, точек доступа может быть несколько, и это позволит значительно расширить площади, охватываемые беспроводной сетью.

    Приобрести точки беспроводного доступа стандарта 802.11b производства компаний D-Link, Lantech, Compex можно не дороже ста долларов. Устройства, поддерживающие больше одного протокола и носящие логотипы известных производителей, стоят от 120 долларов и выше.

    Часто кроме коммутации радиопакетов эти изделия предоставляют возможность подключения к линиям xDSL и снабжены разными интерфейсами, в том числе и USB 2.0. Это делает возможным подключение, например, к стационарному серверу сети, который будет выполнять дополнительные задачи по обеспечению сетевой безопасности.

    Глава 7.

    «Двенадцать обезьян»

    Поиск беспроводных сетей с открытым доступом превратился в своеобразный спорт и получил название «warchalking». Корень «war» заимствован из термина «wardialing», означающего тотальный перебор телефонных номеров интернет-провайдеров на предмет обнаружения дармового доступа в глобальную сеть. «Chalk» же с английского переводится как «мел», и целиком термин «warchalking» означает оставление пометок мелом в местах, где возможен вход в беспроводную сеть без ведома её хозяев (помните культовый фильм «Двенадцать обезьян»?). Энтузиасты warchalking’а рыскают по улицам с Wi-Fi наладонником, либо разъезжают на машине с ноутбуком, сканируя эфир в поисках WLAN-трафика. Обнаружив таковой, охотник определяет параметры беспроводной сети и рисует на ближайшей стене значок, характеризующий данную сеть. Знающий эти обозначения сразу поймёт, что в этом месте можно подключиться к сети и как это сделать.

    Открытые зоны беспроводного доступа (hot spots) сегодня развёртываются во всем мире. С их помощью странствующие коммивояжёры могут за некоторые деньги пользоваться Интернетом и работать с электронной почтой без подключения проводов. И здесь лидером выступает корпорация Intel, активно расширяющая сеть зон доступа в отелях, аэропортах, кафе и прочих местах общественного пользования. Французские связисты используют инфраструктуру парижского метрополитена, чтобы покрыть невидимой сетью практически весь город. В Канаде и США для этого уже применяется существующая сеть таксофонов, подобное решение намеревается внедрить и крупный китайский оператор связи Chunghwa Telecom. Нет сомнения, что это направление провайдерского бизнеса будет расширяться, так что при покупке нового мобильного компьютера следует озаботиться приобретением Wi-Fi адаптера или выбрать ноутбук на платформе Centrino.

    Глава 8.

    Любопытно?

    В послевоенном обустройстве Ирака будут принимать участие не только нефтедобывающие компании. Большую работу предстоит проделать и в области развития информационных технологий. Существует мнение, что при создании телекоммуникационной инфраструктуры нового Ирака будет целесообразнее сразу внедрять беспроводную передачу данных. Таким образом пропускается этап прокладки дорогих информационных магистралей. Примеры внедрения технологий Wi-Fi в странах третьего мира уже существуют. В частности, в Бутане беспроводная связь соединяет две деревеньки, одна из которых находится в горах, а вторая на равнине. Проект недорогой связи деревень спонсировала государственная телефонная компания Бутана. Таким образом обеспечена телефонная связь и даже подключение к Интернету. Посредством Wi-Fi Интернет добрался и до вершины Эвереста. В апреле 2003 г. вьючные яки доставили наверх оборудование для Интернет-кафе, из которого альпинисты смогут выходить на связь по электронной почте и телефону.

    Кроме горных условий радиосвязь удобна и на морских просторах. Индонезия выбирает Wi-Fi для связи с островами, из которых преимущественно и состоит это государство. Прокладка подводного кабеля обошлась бы несравнимо дороже, а воинствующие сепаратисты, пираты и акулы значительно затрудняли бы обслуживание каналов. В Ирландии также ведутся работы по развитию беспроводной сети, которая охватит удалённые населённые пункты. А в индейских резервациях Калифорнии беспроводным образом интернетизируются школы и полицейские участки. Университет Калифорнии в Сан-Диего и компания Hewlett-Packard на собственные средства устанавливают оборудование Wi-Fi в восемнадцати резервациях округа Сан-Диего.

    Итак, можно с уверенностью констатировать, что беспроводные сети стандартов 802.11 являются практически единственным на сегодня решением, пригодным для организации мобильного офиса. Широкая поддержка этих стандартов изготовителями компьютеров и сетевого оборудования даёт повод надеяться, что конкуренция вскоре приведёт к значительному снижению цен на беспроводные решения. Этому будет способствовать и то, что все больше производителей элементной базы объявляют о создании одночиповых контроллеров WLAN. Устройства на их основе станут как дешевле, так и компактнее, а заодно и будут потреблять меньше энергии. Вырастет и скорость передачи данных — уже есть чипы и антенны, обеспечивающие пропускную способность до 108 Мбит/с. Сейчас эта скорость доступна некоторым адаптерам 802.11g благодаря объединению двух частотных каналов, при этом максимальная скорость передачи (54 Мбит/с) увеличивается вдвое.

    Глава 9.

    Альтернативы

    Из альтернативных протоколу 802.11 способов построения беспроводной сети можно упомянуть разве что интерфейс Bluetooth да инфракрасную связь. Применение первого ограничено вследствие низкой пропускной способности, которая не превышает 700 Кбит/с, да и радиус действия Bluetooth-связи в большинстве случаев составляет максимум 10 метров. Следует помнить и о том, что аппаратная часть технологии до сих пор остаётся несколько дороже оборудования для сетей Wi-Fi. Но «сине-зубые» устройства — как адаптеры для КПК и ноутбуков, так и точки доступа — выпускаются и продаются. Последние обойдутся в 120-150 долларов и позволят подключать до семи абонентов. Цены же на адаптеры стандарта Bluetooth 1.1 опустились в последнее время до отметки в 40 долларов.

    Для инфракрасных сетей существует масса вариантов реализации, да и внедрение такой сети обойдётся дешевле, так как почти все КПК и ноутбуки уже имеют инфракрасные порты. Здесь необязательна точная направленность приёмника на передатчик, допустимые углы отклонения — 15-75 градусов; может приниматься и отражённый сигнал. К сожалению, дальность связи ИК-адаптеров не превышает 4 метров, так что «посотрудничать» с коллегой удастся, только сидя за одним с ним столом. Скорость инфракрасной связи может достигать 4 Мбит/с. Устройства для организации инфракрасной сети выпускает, например, компания Clarinet Systems. Кстати, в ассортименте компании (и не только её одной) есть коммутатор, позволяющий подключать несколько КПК или лэптопов, оборудованных ИК-портами, к беспроводной сети стандарта 802.11b. Инфракрасные приёмопередатчики стоят около $30-40, но принцип действия ограничивает их применение стенами одной комнаты. К тому же, невысокая скорость мало кого устроит на сегодняшний день. Использовать их можно разве что в качестве «шлюза» локальной сети для подключения наладонников, оборудованных ИК-портом.

    Прочитав вышеизложенное, читатель может подумать, что сеть для мобильного офиса — благодать, доступная только топ-менеджерам, использующим связь для отслеживания котировок акций на бирже, проведения видеоконференций и прочей фантастики. Но на самом деле это ещё и удобное средство для автоматизации многих бизнес-процессов. Представим себе склад, где хранятся тысячи наименований товара. Процесс передачи товара в торговый зал или филиал компании сопровождается регистрацией этого события в базе данных, осуществляемых путём ручного набора его индекса или артикула. Если номенклатура товаров достаточно обширна, недолго ошибиться и потерять товар, а затем и часть заработной платы. А если бы кладовщик и экспедитор имели при себе КПК со сканером штрих-кодов и доступом к беспроводной сети предприятия, процедура могла бы значительно ускориться. Кто стоял в очереди на оптовых складах, должен меня понять. Здесь скорость и точность обработки напрямую связаны с оборотом денежных средств, так что сеть Wi-Fi на складе оправдает себя очень быстро.

    Торговый зал — ещё один кандидат на автоматизацию. Очень часто встречается ситуация, когда менеджер не может рассказать о преимуществах одного высокотехнологичного товара перед другим или просто дать ему исчерпывающие характеристики. КПК с тем же сканером штрих-кодов очень помог бы ему в этом случае. Отослать распознанный артикул товара на сервер БД предприятия и получить описание товара (из той же базы данных, что представлена на веб-сайте компании) можно за несколько секунд. Эффективно и эффектно — мнение потрясённого покупателя о «продвинутом магазине» будет однозначно положительным. А вслед за ним вашу торговую точку обязательно посетят и его знакомые, с которыми он не замедлит поделиться впечатлениями.

    Получить информацию о товаре можно не только путём сканирования штрих-кода. Можно использовать электронные метки — миниатюрные радиочипы, прикреплённые на каждую единицу товара. Сейчас ведутся активные разработки в этом направлении, чему способствует и поддержка маркетологов, намеревающихся таким образом заодно изучать покупателей. Кстати, радиочипы более эффективно, чем магнитные ярлыки, предупреждают хищение товара.

    Резюмируя сказанное, заключу — беспроводные технологии могут найти место практически в любой области торгового бизнеса. Находится ли бизнесмен в кабинете, летит ли на деловую встречу, осматривает ли склады — быстрая и надёжная связь всегда пригодится ему и его работникам. И реальным вариантом её обеспечения сегодня являются беспроводные сети Wi-Fi.









    Главная | Контакты | Нашёл ошибку | Прислать материал | Добавить в избранное

    Все материалы представлены для ознакомления и принадлежат их авторам.